docker文档（和自我解释）区分了“虚拟机”和“容器”。他们倾向于以一种不寻常的方式解释和使用事物。他们可以做到这一点，因为这取决于他们自己，他们在文档中写了什么，而且虚拟化的术语还没有真正准确。

事实是Docker文档对“容器”的理解，实际上是半虚拟化（有时是“OS级虚拟化”），而硬件虚拟化则相反，Docker不是。

Docker是一个低质量的虚拟化解决方案。容器与VM的区别是由docker开发人员发明的，以解释其产品的严重缺点。

它之所以如此流行，是因为他们“把火给了普通人”，也就是说，它使Win10工作站上典型的服务器（=Linux）环境/软件产品的简单使用成为可能。这也是我们容忍他们细微差别的原因。但这并不意味着我们也应该相信它。

Windows主机上的docker在HyperV中使用了嵌入式Linux，并且其容器已经在其中运行，这一事实使情况变得更加混乱。因此，Windows上的docker使用了硬件和半虚拟化相结合的解决方案。

简而言之，Docker容器是低质量（准）虚拟机，具有巨大的优势和许多缺点。

关于：-

“为什么将软件部署到docker映像比简单部署到一致的生产环境？"

大多数软件都部署到许多环境中，通常至少部署以下三种环境：

个人开发者PC共享开发人员环境单个测试仪PC共享测试环境QA环境UAT环境负载/性能测试实时登台生产档案文件

还需要考虑以下因素：

根据工作的性质，开发人员，甚至测试人员，都将拥有微妙的或完全不同的PC配置开发人员通常可以在公司或企业标准化规则无法控制的PC上进行开发（例如，在自己的机器上开发的自由职业者（通常是远程开发的），或未“受雇”或“签约”以某种方式配置其PC的开源项目的贡献者）某些环境将由负载平衡配置中的固定数量的多台计算机组成许多生产环境将根据流量级别动态（或“弹性”）创建和销毁基于云的服务器

正如你所看到的，一个组织的服务器总数很少是一位数，通常是三位数，而且很容易更高。

这一切都意味着，仅仅因为巨大的容量（即使是在绿地场景中），首先创建一致的环境就已经足够困难了，但鉴于服务器数量众多、新服务器的添加（动态或手动）、o/s供应商、防病毒供应商、浏览器供应商等的自动更新，由开发人员或服务器技术人员执行的手动软件安装或配置更改等。让我重复一遍-保持环境一致几乎是不可能的（没有双关语）（好吧，对于纯粹主义者来说，这是可以做到的，但这需要大量的时间、精力和纪律，这正是为什么VM和容器（例如Docker）最初被设计出来的原因）。

因此，请更像这样思考您的问题：“鉴于保持所有环境一致性的极端困难，即使考虑到学习曲线，将软件部署到docker映像中是否更容易？”。我想你会发现答案总是“是”——但只有一种方法可以找到，在Stack Overflow上发布这个新问题。

有很多答案可以更详细地解释这些差异，但这里是我非常简短的解释。

一个重要的区别是VM使用单独的内核来运行操作系统。这就是它很重并且需要时间引导的原因，消耗了更多的系统资源。

在Docker中，容器与主机共享内核；因此它重量轻，可以快速启动和停止。

在虚拟化中，资源是在设置开始时分配的，因此当虚拟机在许多时间内处于空闲状态时，资源没有得到充分利用。在Docker中，容器没有分配固定数量的硬件资源，可以根据需求自由使用资源，因此具有高度的可扩展性。

Docker使用UNION文件系统。。Docker使用写时复制技术来减少容器消耗的内存空间。在此处阅读更多信息

我喜欢肯·科克伦的回答。

但我想补充一点观点，这里没有详细介绍。在我看来，Docker在整个过程中也有所不同。与虚拟机不同，Docker不仅仅是硬件的最佳资源共享，而且它还为打包应用程序提供了一个“系统”（作为一组微服务是可取的，但不是必须的）。

对我来说，它正好填补了面向开发人员的工具（如rpm、Debian包、Maven、npm+Git）与操作工具（如Puppet、VMware、Xen）之间的差距，你可以这么说。。。

为什么将软件部署到docker映像（如果这是正确的术语）比简单地部署到一致的生产环境更容易？

您的问题假定了某种一致的生产环境。但如何保持一致？考虑一些数量（>10）的服务器和应用程序，这是管道中的阶段。

为了保持同步，您将开始使用类似木偶、厨师或您自己的供应脚本、未发布的规则和/或大量文档。。。理论上，服务器可以无限期运行，并保持完全一致和最新。实践无法完全管理服务器的配置，因此存在很大的配置漂移和运行服务器的意外更改空间。

因此，有一种已知的模式可以避免这种情况，即所谓的不可变服务器。但不可变的服务器模式并不受欢迎。主要是因为Docker之前使用的VM的限制。处理几个千兆字节的大图像，移动这些大图像，只是为了改变应用程序中的一些字段，这是非常费力的。可以理解。。。

有了Docker生态系统，你永远不需要在“小改动”上移动千兆字节（感谢aufs和Registry），也不必担心在运行时将应用程序打包到Docker容器中会导致性能下降。您不必担心该图像的版本。

最后，即使在您的Linux笔记本电脑上，您也可以经常复制复杂的生产环境（如果在您的情况下不起作用，请不要打电话给我；）

当然，您可以在VM中启动Docker容器（这是一个好主意）。减少VM级别的服务器资源调配。所有这些都可以由Docker管理。

同时Docker使用自己的实现“libcontainer”而不是LXC。但LXC仍然可用。

在我看来，这取决于你的应用程序的需求，为什么决定部署到Docker，因为Docker根据其功能将应用程序分解为小部分，这变得有效，因为当一个应用程序/功能出现错误时，它对其他应用程序没有影响，与使用完整的vm相比，它的配置会更慢、更复杂，但在某些方面比码头工人更安全

了解虚拟化和容器如何在低级别上工作可能会有所帮助。这将澄清很多事情。

注意：我在下面的描述中简化了一点。有关详细信息，请参阅参考文献。

虚拟化如何在低级别工作？

在这种情况下，VM管理器接管CPU环0（或较新CPU中的“根模式”），并拦截来宾操作系统发出的所有特权调用，以产生来宾操作系统拥有自己硬件的错觉。有趣的事实：在1998年之前，人们认为在x86架构上实现这一点是不可能的，因为没有办法进行这种拦截。VMware的员工是第一个有想法重写内存中的可执行字节以供来宾操作系统的特权调用来实现这一点的人。

其净效果是虚拟化允许您在同一硬件上运行两个完全不同的操作系统。每个来宾操作系统都要经过引导、加载内核等所有过程。例如，来宾操作系统无法完全访问主机操作系统或其他来宾操作系统，从而造成混乱。

容器如何在低液位下工作？

2006年左右，包括谷歌员工在内的一些人实现了一个名为名称空间的新内核级功能（然而，这个想法早就存在于FreeBSD中）。操作系统的一个功能是允许在进程之间共享网络和磁盘等全局资源。如果这些全局资源被包装在命名空间中，以便它们只对在同一命名空间中运行的那些进程可见，该怎么办？例如，您可以获取一块磁盘并将其放在命名空间X中，然后在命名空间Y中运行的进程无法看到或访问它。同样，命名空间X中的进程无法访问分配给命名空间Y的内存中的任何内容。当然，X中的程序无法看到或与命名空间Y中的进程对话。这为全局资源提供了一种虚拟化和隔离。Docker是这样工作的：每个容器都在自己的命名空间中运行，但使用与所有其他容器完全相同的内核。之所以发生隔离，是因为内核知道分配给进程的命名空间，并且在API调用期间，它确保进程只能访问自己命名空间中的资源。

容器与虚拟机的局限性现在应该很明显：你不能像虚拟机那样在容器中运行完全不同的操作系统。但是，您可以运行不同的Linux发行版，因为它们共享相同的内核。隔离级别不如VM中的隔离级别强。事实上，在早期的实现中，“来宾”容器可以接管主机。您还可以看到，当您加载一个新容器时，OS的整个新副本并不像在VM中那样启动。所有容器共享同一内核。这就是为什么集装箱重量轻。与VM不同的是，您不必为容器预先分配大量内存，因为我们没有运行新的OS副本。这允许在一个操作系统上运行数千个容器，同时对它们进行装箱，如果我们在它们自己的VM中运行操作系统的单独副本，这可能是不可能的。